请问每个权限都需要手动增加吗?
来源:4-9 权限控制流程
牛教授
2017-03-28 00:01
比如我一个页面的增删改查,我岂不是都要手动加这几个权限,还有比如我们都有修改权限,别人修改的时候篡改了自己提交的id值就可以把别人的内容修改了,这种又要怎么防止呢
写回答
关注
2回答
-
- 编程浪子
- 2017-04-14 13:57:29
你这是两个问题
第一个问题:必须手动添加,不然谁知道你有什么链接了
第二个问题:你自己要做好业务判断,这个id是不是属于某个人的,当前登录人的uid 你是知道了
-
- 木上草
- 2017-03-28 10:10:24
由于session是存在服务端的,所以可以使用session固定角色,与角色对应的权限就相对固定了,哪怕你篡改ID,可以每次监听session字段的用户信息,对比当前传入的信息,有变化就去登录,这样就防止了权限篡改,至于第一个方法,直接判断模型和控制器,不去管action,可以实现一定程度上的伪打包功能,但是那样很不安全,所以最好每个权限对应到action,这样,无论用户哪个操作都可以精细的控制到了。
RBAC打造通用web管理权限
RBAC为商业系统安全防范手段,结合理论和实战介绍RBAC
20465 学习 · 47 问题
相似问题